W branżach infrastrukturalnych, do których niewątpliwie należy branża wodociągowo-kanalizacyjna, cyfryzacja wdziera się w codzienną pracę stopniowo, ale nieuchronnie. Podczas gdy do zagrożeń związanych z pocztą elektroniczną zdążyliśmy się już przyzwyczaić, nawet dla osób na co dzień pracujących w obiektach przemysłowych bezpieczeństwo przysłowiowej „SCADY” nie jest już tak oczywistym zagadnieniem. Jak zatem zapewnić właściwą reakcję na zakłócenia w pracy systemów sterowania siecią wod-kan?

Jak pokazują ostatnie doniesienia dotyczące ataków na obiekty wodociągowo-kanalizacyjne, automatyka przemysłowa jest coraz częściej na radarze hakerów. Celem ataków może być zmiana ustawień w stacjach uzdatniania wody czy przejęcie kontroli nad urządzeniami odpowiedzialnymi za dostawę wody do mieszkańców. Czy można uchronić się przed takimi zdarzeniami?

Nieustanny ból głowy

Całkowite bezpieczeństwo systemów nigdy nie jest osiągalne. Jest to zresztą powód bólu głowy nie tylko u osób, które odpowiadają za bezpieczeństwo infrastruktury, ale również u zarządów spółek komunalnych, które muszą zapewnić odpowiednie środki na sfinansowanie bezpieczeństwa. Jest jednak stan, który można osiągnąć. Prawnicy lubią go określać jako „dochowanie należytej staranności”, co jest pojęciem doskonale znanym kadrze menedżerskiej. Osiąga się go wówczas, jeżeli przy uwzględnieniu oczywistych ograniczeń zrobiliśmy wszystko, co można, żeby było bezpiecznie. Jak stwierdzić, że to się stało? Składają się na to 2 kluczowe elementy – właściwa organizacja działań i świadomość personelu.

Organizacja działań to przede wszystkim prewencja i przygotowanie do szybkiej reakcji na wypadek zakłóceń. Żeby właściwie określić zakres działań i ich priorytety, pierwszym krokiem jest zawsze dobre zinwentaryzowanie systemów i ustalenie, na ile przedsiębiorstwo jest od nich uzależnione. Bezwzględny priorytet muszą mieć te, bez których nie będzie mogło się odbywać ujmowanie, uzdatnianie lub dostarczanie wody, a w przypadku ścieków – ich odbiór i oczyszczanie. Dyspozytorzy sieci czują to zresztą instynktownie, bo w czasie audytów czy na etapie wsparcia przy wdrożeniu zasad cyberbezpieczeństwa na pytanie o priorytety pada słowo „SCADA” – powtarzane jak mantra. Trzeba jednak wziąć pod uwagę, że zlokalizowanie krytycznego systemu bez zweryfikowania, co się w nim kryje (jakie urządzenia, systemy operacyjne i protokoły wymiany danych), inwentaryzacja nie bę...